Tin tặc bắt đầu khai thác lỗ hổng trong BIG-IP của F5

July 7, 2020 | vietsunshine

Các tin tặc đã bắt đầu khai thác lỗ hổng được vá gần đây ảnh hưởng đến bộ điều khiển phân phối ứng dụng BIG-IP (ADC) của F5 Networks.

F5 đã thông báo cho khách hàng vào tuần trước rằng tiện ích cấu hình BIG-IP có tên Traffic Management User Interface (TMUI) bị ảnh hưởng bởi lỗ hổng thực thi mã từ xa nghiêm trọng mà việc khai thác có thể dẫn đến thỏa hiệp hệ thống.

Lỗ hổng được theo dõi là CVE-2020-5902 và nó đã được báo cáo cho F5 bởi công ty an ninh mạng Positive Technologies. Nhà cung cấp đã phát hành các bản vá cho các phiên bản bị ảnh hưởng.

“Bằng cách khai thác lỗ hổng này, kẻ tấn công từ xa có quyền truy cập vào tiện ích cấu hình BIG-IP, mà không được phép, thực thi mã từ xa,” Mikhail Klyuchnikov, một nhà nghiên cứu tại Positive Technologies giải thích.

“Kẻ tấn công có thể tạo hoặc xóa các tệp, vô hiệu hóa các dịch vụ, chặn thông tin, chạy các lệnh hệ thống và mã Java tùy ý, thỏa hiệp hoàn toàn hệ thống và theo đuổi các mục tiêu xa hơn, chẳng hạn như mạng nội bộ. RCE trong trường hợp này là kết quả của lỗi bảo mật trong nhiều thành phần, chẳng hạn như một thành phần cho phép khai thác truyền tải thư mục.”

Positive Technologies lưu ý rằng họ đã xác định được hơn 8.000 thiết bị dễ bị tổn thương tiếp xúc trực tiếp với internet, nhưng nói rằng hầu hết các công ty không để giao diện cấu hình bị ảnh hưởng có thể truy cập từ web.

Chỉ vài ngày sau khi tiết lộ CVE-2020-5902, các nhà nghiên cứu đã bắt đầu phát hành các khai thác bằng chứng khái niệm (PoC) để đọc tệp tùy ý và thực thi mã từ xa. Những người khác đã phát hành các máy quét kiểm tra xem cài đặt BIG-IP được chỉ định có dễ bị tấn công hay không và thậm chí còn có mô-đun Metasploit giúp lấy root shell.

Một video được xuất bản bởi DeeLMind cho thấy việc khai thác lỗ hổng dễ dàng như thế nào nếu giao diện cấu hình BIG-IP bị lộ.

Rich Warren của NCC Group đã báo cáo vào thứ Bảy rằng công ty đã bắt đầu thấy những nỗ lực khai thác CVE-2020-5902. Các cuộc tấn công đầu tiên được quan sát bởi NCC đọc các tệp và trích xuất mật khẩu được mã hóa, nhưng chúng không thử thực thi mã từ xa và phân phối tải trọng nhị phân.

U.S. Cyber Command đã khuyên các tổ chức nên áp dụng ngay các bản vá cho CVE-2020-5902 và CVE-2020-5903, một lỗ hổng khác được phát hiện bởi Positive Technologies có thể được khai thác để kiểm soát hoàn toàn hệ thống BIG-IP.

Tin tặc bắt đầu khai thác lỗ hổng trong BIG-IP của F5

Nguồn: Hackers Start Exploiting Recently Patched BIG-IP Vulnerability

Xem thêm: Lỗ hổng RCE nghiêm trọng (CVSS 10) của F5 BIG-IP

Tags: , ,